Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보웹 호스팅업체를 통한 Erebus 랜섬웨어 공격
작성일 2017-06-11 조회 1938

사고 개요

(1) 2017년 6월 10일 새벽 1시경에 국내 웹 호스팅 (주)인터넷나야나 업체가 Erebus Ransomware 공격으로 인하여 일부 서버가 피해를 당해 웹 사이트가 연결되지 않는 피해를 당했다는 공지

주)인터넷나야나[긴급공지] 랜섬웨어 공격으로 인해 서버 점검

http://www.nayana.com/bbs/set_view.php?b_name=notice&w_no=957

 

(2) KISA에서 사고 분석 진행중이라 공식 발표

http://news.mk.co.kr/newsRead.php?year=2017&no=388937

 

사고 분석

- 이번에 유포된 Erebus Ransomware에 의해 암호화된 파일은 .ecrypt 형태로 파일이 변경

- 금전 요구 메시지 파일은 _DECRYPT_FILE.html, _DECRYPT_FILE.txt 파일로 안내

- 결제 페이지(Erebus Decryptor)에서는 영어(English), 에스파냐어(Espanol), 일본어(Japanese), 중국어(Chinese) 외에 한국어(Korean)까지 지원

 

- 10번의 무료 복호화를 지원하지만 정해진 기간 내에 3,400만원 ~ 1,700만원 상당의 비트코인(Bitcoin) 가상 화폐로 돈을 지불하도록 안내

 

랜섬웨어 분석

(1) 최초 작년말부터 올해 2월경까지 윈도우기반의 Erebus Ransomware 유포

(2) 이번에 유포된 Erebus Ransomware에 의해 암호화된 파일은 .ecrypt 형태로 파일이 변경되며, 금전 요구 메시지 파일은 _DECRYPT_FILE.html, _DECRYPT_FILE.txt 파일로 안내.

(3) Erebus가 실행되면 피해자의 IP 주소와 국가를 확인하기 위해 http://ipecho.net/plain 및 http://ipinfo.io/country에 연결

(4) TOR 클라이언트를 다운로드 후 사이트의 명령 및 제어 서버에 연결하는 데 사용

(5) 피해자의 컴퓨터를 검색하고 특정 파일 형식을 검색, 대상 파일 형식을 탐지하면 AES 암호화를

사용하여 파일을 암호화 대상 파일의 현재 목록은 다음과 같다.

(6) 다음 대상 확장자를 암호화

(7) 2월 발생한 Windows Erebus Ransomware를 참고하면 http://torproject.ip-connect.vn.ua (91.218.89.74 - 우크라이나) 서버에서 안내페이지 다운로드

(8) 안내페이지에는 결제 사이트에 로그인하는 데 사용할 수있는 고유 한 ID, 암호화 된 파일 목록 및 TOR 지불 사이트로 이동하는 버튼이 포함

(8) 현재로서는 Erebus 랜섬웨어 배포 경로 확인 되지 않음

 

사고피해 현황

침해당한 IP대역

 

112.175.51.73

211.218.126.207

218.145.71.134

218.145.71.135

218.145.71.139

218.145.71.140

218.145.71.144

218.145.71.158

218.145.71.160

218.145.71.162

218.145.71.165

218.145.71.166

218.145.71.173

218.145.71.176

218.145.71.178

218.145.71.194

218.145.71.207

218.145.71.217

218.145.71.218

218.145.71.220

218.145.71.231

218.145.71.241

218.145.71.244

218.145.71.245

220.73.163.10

220.73.163.104

220.73.163.11

220.73.163.75

220.73.163.77

220.73.163.82

220.73.163.83

220.73.173.110

220.73.173.111

 

http://mmbs.snu.ac.kr

http://www.1004mom.net

http://www.aeroedu.or.kr

http://www.agarbatti.co.kr

http://www.airhelp.co.kr

http://www.ajsellcarevent.co.kr

http://www.asobiba.co.kr

http://www.astrozoom.net

http://www.aventreehotelbusan.com

http://www.ayoung.winenara.com

http://www.blueocean365.com

http://www.borncreative.com

http://www.btnikorea.com

http://www.buerstner.co.kr

http://www.chinyangpoly.kr

http://www.chunsunwon.com

http://www.dbbottle.co.kr

http://www.dcake.kr

http://www.deepfreezer.kr

http://www.etlotto.com

http://www.ezisum.com

http://www.gaa-arch.com

http://www.hanilhak.or.kr

http://www.hcmp.co.kr

http://www.hkphone.net

http://www.hlds.co.jp

http://www.hufshistory.com

http://www.ipv6.or.kr

http://www.isams.org

http://www.izerone.co.kr

http://www.jangseungpark.org

http://www.jangsuga.co.kr

http://www.jbexpress.co.kr

http://www.jinhap.com

http://www.jump-ent.com

http://www.kangnamfd.kr

http://www.khmn.co.kr

http://www.kilho.net

http://www.koil.co.kr

http://www.koreapeace.co.kr

http://www.ksramp.or.kr

http://www.ktsi.or.kr

http://www.lgchemunion.org

http://www.marcheat.net

http://www.marcheat.net

http://www.mcparts.co.kr

http://www.mindlele.com

http://www.musco.co.kr

http://www.mykisa.com

http://www.mysurf.kr

http://www.nameun.org

http://www.nkcff.com

http://www.nmkorea.co.kr

http://www.nshuton.com

http://www.peaceind.co.kr

http://www.performative.org

http://www.phonology.or.kr

http://www.re-formhouse.co.kr

http://www.rockwillneverdie.com

http://www.seaflex.kr

http://www.shoerack.co.kr

http://www.show-play.com

http://www.snukumdo.org

http://www.sopung-pension.com

http://www.sportsclimbing.net

http://www.sturgeon.or.kr

http://www.superondori.co.kr

http://www.sw4123.co.kr

http://www.taeil.net

http://www.thehanyi.com

http://www.thepay.kr

http://www.ttckorea.kr

http://www.turnhigh.com

http://www.unidusok.com

http://www.wisesystems.co.kr

http://www.wvc2017korea.com

http://www.yooshin.org

http://www.yosan.co.kr

http://www.yukiki.net

http://www.zem.co.kr

http://www.보은전통시장.com

http://www.힐러버.com

등등

첨부파일 첨부파일이 없습니다.
태그   Erebus, 랜섬웨어, 웹 호스팅